昨天有個朋友的公司要用 J2Cache ,然後用公司的一些工具對這個專案檢測,居然發現 J2Cache 暗藏後門!!!
而且還截圖給我看,如下圖:
我的天啊,jansi.dll 我第一眼看到的這個名字以為是 : 監視.dll
原來是 J2Cache 使用的一個三方依賴 jline 包裡包含了這個「後門」。不過大家也不用擔心,因為 J2Cache 用 jline 只是一個測試小工具,用來對兩級快取進行測試的,實際作為快取使用的時候並不會用到。
沒有必要依賴這個專案,緊急釋出了一個更新版本 2.8.5 ,去掉了 jline 這個依賴!
版本資訊:
<dependency>
<groupId>net.oschina.j2cache</groupId>
<artifactId>j2cache-core</artifactId>
<version>2.8.5-release</version>
</dependency>
建議更新。
是我無知了,這不是後門:
已經證實這不是一個後門,而是 jline 依賴了另外一個開源專案